本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤指一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法和裝置。

背景技術(shù)：

目前，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題日益突出，企業(yè)網(wǎng)絡(luò)中的多個位置都會部署防火墻、入侵防御系統(tǒng)、防病毒等安全產(chǎn)品，其中，企業(yè)與外網(wǎng)、商業(yè)合作伙伴之間的業(yè)務(wù)需求會時刻發(fā)生變化，并且公共漏洞和暴露(commonvulnerabilities&exposures，簡稱：cve)、國家信息安全漏洞共享平臺(chinanationalvulnerabilitydatabase，簡稱：cnvd)等權(quán)威機(jī)構(gòu)時刻發(fā)布新發(fā)現(xiàn)的漏洞，這些都要求企業(yè)網(wǎng)絡(luò)管理人員對網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行變更，從而保障企業(yè)網(wǎng)絡(luò)的安全。

現(xiàn)有技術(shù)中，企業(yè)網(wǎng)絡(luò)管理人員會通過開放防火墻某個端口，以便與商業(yè)合作伙伴進(jìn)行業(yè)務(wù)交流，或者關(guān)閉某個端口，避免被某個漏洞利用等等辦法來對網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行變更，同時通過特定的產(chǎn)品對網(wǎng)絡(luò)安全設(shè)備的配置進(jìn)行核查，以便及時發(fā)現(xiàn)配置中的漏洞。

但是，采用現(xiàn)有的技術(shù)，通過特定的產(chǎn)品來對網(wǎng)絡(luò)安全設(shè)備配置結(jié)果的分析考慮并不全面，使得最終評估的結(jié)果不能準(zhǔn)確、有效、多方面的反映網(wǎng)絡(luò)安全設(shè)備的安全狀態(tài)。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述技術(shù)問題，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法和裝置，能夠更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

為了達(dá)到本發(fā)明目的，第一方面，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng) 險評估方法，該方法包括：

確定預(yù)定的風(fēng)險庫，所述風(fēng)險庫包括多條風(fēng)險項(xiàng)；

提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)；

分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值。

與現(xiàn)有技術(shù)相比，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法，通過確定預(yù)定的風(fēng)險庫，提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng)，分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值，這樣分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

第二方面，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置，該裝置包括：確定模塊、提取模塊和評估模塊；

所述確定模塊，設(shè)置于確定預(yù)定的風(fēng)險庫，所述風(fēng)險庫包括多條風(fēng)險項(xiàng)的配置信息，所述配置信息包括風(fēng)險項(xiàng)的識別碼和描述內(nèi)容；

所述提取模塊，設(shè)置于提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)；

所述評估模塊，設(shè)置于分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值。

與現(xiàn)有技術(shù)相比，本發(fā)明提供了一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置，通過確定模塊確定預(yù)定的風(fēng)險庫，提取模塊提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng)，評估模塊分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估 設(shè)備已觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值，這樣分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在說明書、權(quán)利要求書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。

附圖說明

附圖用來提供對本發(fā)明技術(shù)方案的進(jìn)一步理解，并且構(gòu)成說明書的一部分，與本申請的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案，并不構(gòu)成對本發(fā)明技術(shù)方案的限制。

圖1為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法實(shí)施例一的流程示意圖；

圖2為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置實(shí)施例一的結(jié)構(gòu)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白，下文中將結(jié)合附圖對本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明。需要說明的是，在不沖突的情況下，本申請中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。

在附圖的流程圖示出的步驟可以在諸如一組計算機(jī)可執(zhí)行指令的計算機(jī)系統(tǒng)中執(zhí)行。并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本發(fā)明實(shí)施例涉及的方法可以應(yīng)用于網(wǎng)絡(luò)安全系統(tǒng)中的單個設(shè)備，該網(wǎng)絡(luò)安全設(shè)備可以是路由器、防火墻、行為管理器和核心交換機(jī)等設(shè)備，但并不限于此。

本發(fā)明實(shí)施例涉及的方法，旨在解決現(xiàn)有技術(shù)中通過特定的產(chǎn)品來對網(wǎng) 絡(luò)安全設(shè)備配置結(jié)果的分析考慮并不全面，使得最終評估的結(jié)果不能準(zhǔn)確、有效、多方面的反映網(wǎng)絡(luò)安全設(shè)備的安全狀態(tài)的技術(shù)問題。

下面以具體地實(shí)施例對本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說明。下面這幾個具體的實(shí)施例可以相互結(jié)合，對于相同或相似的概念或過程可能在某些實(shí)施例不再贅述。

圖1為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法實(shí)施例一的流程示意圖。本實(shí)施例涉及的是實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法的具體過程。如圖1所示，該方法包括：

s101、確定預(yù)定的風(fēng)險庫，所述風(fēng)險庫包括多條風(fēng)險項(xiàng)。

具體的，用戶可以根據(jù)統(tǒng)一安全策略管控系統(tǒng)提供的標(biāo)準(zhǔn)風(fēng)險庫，也可以根據(jù)業(yè)務(wù)需求，自定義風(fēng)險庫來適合企業(yè)的需求，其中，該風(fēng)險庫包括了設(shè)備的所有漏洞信息，這里定義每個漏洞為一條風(fēng)險項(xiàng)，例如：設(shè)備的管理員密碼為默認(rèn)值，設(shè)備開放了telnet服務(wù)等等，但并不限于此。

具體的，每條風(fēng)險項(xiàng)都有風(fēng)險項(xiàng)的識別碼和描述內(nèi)容，對每個風(fēng)險項(xiàng)(也簡稱：漏洞)進(jìn)行了詳細(xì)的分析，并用相應(yīng)的字段進(jìn)行表示，這里每個風(fēng)險項(xiàng)包含的字段有：風(fēng)險項(xiàng)識別碼、描述內(nèi)容、風(fēng)險項(xiàng)帶來的風(fēng)險值大小、風(fēng)險項(xiàng)和風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系等等，但并不限于此。

s102、提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)。

具體的，可以根據(jù)統(tǒng)一安全策略管控系統(tǒng)通過ssh遠(yuǎn)程連接到待評估的設(shè)備，根據(jù)風(fēng)險庫中風(fēng)險項(xiàng)的配置信息對待評估設(shè)備的原始配置信息進(jìn)行提取，提取待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效信息，即提取可能存在漏洞的所有相關(guān)的有效配置信息形成規(guī)范化數(shù)據(jù)，將所述規(guī)范化數(shù)據(jù)按照預(yù)定的風(fēng)險庫進(jìn)行風(fēng)險分析，獲取所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng)，例如，風(fēng)險庫中存在一條關(guān)于管理員密碼有效期的風(fēng)險項(xiàng)，則需提取該待評估設(shè)備的原始配置信息中的有效數(shù)據(jù)，即密碼有效期的信息，并在規(guī)范化的格式中設(shè)定密碼有效期的字段，且該字段值即為采集到的密碼有效期的值，但并不以此為限。

s103、分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值。

具體的，可根據(jù)用戶選擇的風(fēng)險庫分析所選擇的風(fēng)險庫中的風(fēng)險項(xiàng)，并對所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)進(jìn)行分析，可以分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、觸發(fā)風(fēng)險項(xiàng)的風(fēng)險值、觸發(fā)風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系等等，將分別分析后的結(jié)果采取相應(yīng)的計算方法，獲取所述待評估設(shè)備的安全狀態(tài)值。

本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估方法，通過確定預(yù)定的風(fēng)險庫，提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng)，分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值，通過分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，在上述步驟101確定預(yù)定的風(fēng)險庫之前，還包括：

預(yù)先收集各配置類型的風(fēng)險庫，所述配置類型包括基線庫和/或訪問控制列表acl庫。

具體的，本發(fā)明實(shí)施例的風(fēng)險評估是從風(fēng)險項(xiàng)的角度觸發(fā)，通過預(yù)定的分析方法來判斷待評估設(shè)備的配置是否存在風(fēng)險項(xiàng)，并結(jié)合這些風(fēng)險項(xiàng)存在的風(fēng)險值來判斷待評估設(shè)備的安全狀態(tài)值，因此，預(yù)處理中需要對待評估設(shè)備的配置信息進(jìn)行收集和描述，形成基線分析和/或acl風(fēng)險分析等配置類型所需的風(fēng)險庫，其中，風(fēng)險庫的形成參考了當(dāng)前知名漏洞庫，如cve；也可以參考設(shè)備配置規(guī)范要求，如nist關(guān)于防火墻配置規(guī)范，還可以參考通用的一些標(biāo)準(zhǔn)，如基線標(biāo)準(zhǔn)、合規(guī)標(biāo)準(zhǔn)、pci標(biāo)準(zhǔn)等等，但并不限于此。

具體的，預(yù)先收集的風(fēng)險庫可以根據(jù)配置類型進(jìn)行分類，將風(fēng)險庫具體區(qū)分為基線模塊的基線庫和acl風(fēng)險庫，從而可以分別用于基線分析和acl風(fēng)險分析。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)，包括：

統(tǒng)計預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的總數(shù)；

采用cvss3.0評分方法分析獲取預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的風(fēng)險值；

確定預(yù)定風(fēng)險庫中任意兩條風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系，其中，觸發(fā)第一條風(fēng)險項(xiàng)必定會觸發(fā)第二條風(fēng)險項(xiàng)，且觸發(fā)所述第二條風(fēng)險項(xiàng)不會觸發(fā)所述第一條風(fēng)險項(xiàng)，則確定所述第一條風(fēng)險項(xiàng)和第二條風(fēng)險項(xiàng)之間存在關(guān)聯(lián)。

具體的，這里用于分析的風(fēng)險庫可以是統(tǒng)一安全策略管控系統(tǒng)提供的標(biāo)準(zhǔn)庫、風(fēng)險總庫，也可以由用戶根據(jù)自己的業(yè)務(wù)需求，組合而成的適合自身企業(yè)的自定義風(fēng)險庫，統(tǒng)計預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的總數(shù)，并采用cvss3.0評分方法分析獲取預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的風(fēng)險值，統(tǒng)一安全策略管控系統(tǒng)采用官方最新的cvss3.0評分方法，從漏洞的攻擊途徑、攻擊復(fù)雜度、特權(quán)、用戶交互、機(jī)密性、完整性、可用性等角度進(jìn)行考慮，利用cvss3.0評分公式，評估當(dāng)前漏洞的風(fēng)險值，并對漏洞得分進(jìn)行定性分析，劃分成嚴(yán)重、高、中、低、輕微五個等級，用以直觀的判斷當(dāng)前漏洞的嚴(yán)重程度，采用公認(rèn)的cvss3.0評分方法，使得漏洞的風(fēng)險值更加準(zhǔn)確、可靠、可信。

其中，對于風(fēng)險項(xiàng)與風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系，主要是用來分析預(yù)定的風(fēng)險庫中的不同的風(fēng)險項(xiàng)(即漏洞)之間的關(guān)聯(lián)關(guān)系，這里關(guān)聯(lián)關(guān)系的定義為：對風(fēng)險庫中任意兩條風(fēng)險項(xiàng)(即漏洞)a、b，如果觸發(fā)風(fēng)險項(xiàng)a的所有風(fēng)險庫規(guī)則必定會觸發(fā)風(fēng)險項(xiàng)b，并且觸發(fā)風(fēng)險項(xiàng)b的風(fēng)險庫規(guī)則不一定觸發(fā)風(fēng)險項(xiàng)a，則認(rèn)為風(fēng)險a與風(fēng)險項(xiàng)b存在關(guān)聯(lián)關(guān)系，其中風(fēng)險項(xiàng)b包含風(fēng)險項(xiàng)a。從定義可以看出，若不考慮這種包含關(guān)系，在對設(shè)備的安全得分進(jìn)行計算時，則會導(dǎo)致觸發(fā)被包含的風(fēng)險項(xiàng)(即漏洞)的acl規(guī)則被計算多次，導(dǎo)致設(shè)備的風(fēng)險得分變高，安全得分降低。實(shí)際中，依據(jù)上述關(guān)聯(lián)關(guān)系的定義，對風(fēng)險庫中的風(fēng)險項(xiàng)進(jìn)行關(guān)聯(lián)關(guān)系分析，分析步驟如下：

(1)對預(yù)定的風(fēng)險庫任意的兩條風(fēng)險項(xiàng)a、b，依據(jù)關(guān)聯(lián)關(guān)系的定義，分析這兩條風(fēng)險項(xiàng)是否存在關(guān)聯(lián)關(guān)系；

(2)若(1)中的風(fēng)險項(xiàng)a、b存在關(guān)聯(lián)關(guān)系，且b包含a，則在風(fēng)險項(xiàng)b的“漏洞關(guān)聯(lián)關(guān)系”字段添加風(fēng)險項(xiàng)a的漏洞id。

例如：風(fēng)險項(xiàng)r1檢查外網(wǎng)到內(nèi)網(wǎng)是否開放服務(wù)為any類型的規(guī)則，風(fēng)險項(xiàng)r2檢查外網(wǎng)到內(nèi)網(wǎng)是否開放telnet服務(wù)，風(fēng)險項(xiàng)r3檢查外網(wǎng)到內(nèi)網(wǎng)是否開放x11服務(wù)，通過分析r1、r2、r3之間的關(guān)聯(lián)關(guān)系可以得出結(jié)論：觸發(fā)風(fēng)險項(xiàng)r1的acl規(guī)則必然會觸發(fā)風(fēng)險項(xiàng)r2、r3，因此，需在風(fēng)險項(xiàng)r2和r3的“漏洞關(guān)聯(lián)關(guān)系”字段添加值r1。這里若不考慮它們之間的關(guān)聯(lián)關(guān)系，則會出現(xiàn)觸發(fā)風(fēng)險項(xiàng)r1的acl規(guī)則被計算多次(例中可得出觸發(fā)r1的每條acl規(guī)則都被計算了3次)。將這種包含關(guān)系考慮進(jìn)去，去除重復(fù)計算的acl規(guī)則，提高了系統(tǒng)設(shè)備acl模塊和設(shè)備綜合安全狀態(tài)分析結(jié)果的準(zhǔn)確性。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，包括：

若預(yù)定的風(fēng)險庫包括訪問控制列表acl庫時，分析所述待評估設(shè)備觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)、風(fēng)險項(xiàng)的風(fēng)險值以及風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中的一個或者多個。

具體的，若預(yù)定的風(fēng)險庫中是多種類型的acl風(fēng)險庫，用戶可根據(jù)選擇的acl風(fēng)險庫分析觸發(fā)所述待評估設(shè)備的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)、風(fēng)險項(xiàng)的風(fēng)險值以及風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中一個或者多個。需要說明的是，采用不同的風(fēng)險庫進(jìn)行分析，檢測出的漏洞信息也是不同的。下面將通過實(shí)施例來進(jìn)行詳細(xì)說明，具體如下：

(1)根據(jù)用戶選擇的風(fēng)險庫對規(guī)范化的acl策略數(shù)據(jù)進(jìn)行風(fēng)險分析，統(tǒng)計觸發(fā)每條風(fēng)險項(xiàng)(即漏洞)的acl策略的識別碼號；

(2)對步驟(1)中的結(jié)果依據(jù)風(fēng)險項(xiàng)與風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系進(jìn)行處理，去除重復(fù)計算的acl策略的id號，得到處理后的觸發(fā)每條風(fēng)險項(xiàng)的acl策略的id號；

(3)根據(jù)(2)中的處理結(jié)果統(tǒng)計觸發(fā)每條風(fēng)險項(xiàng)的次數(shù)，其中一個acl策略id號則代表觸發(fā)一次。例如，對于一個風(fēng)險值較低的風(fēng)險項(xiàng)，觸發(fā)了1次和觸發(fā)了100次，評估這個風(fēng)險項(xiàng)給系統(tǒng)造成的安全影響是不同的，觸發(fā)次數(shù)較多的風(fēng)險項(xiàng)，表明這個風(fēng)險項(xiàng)被使用的次數(shù)較高，而越多次的被使用，則說明存在惡意的使用次數(shù)相對是比較多的，從而增加了待評估設(shè)備的風(fēng)險 值。

(4)根據(jù)(1)、(2)、(3)的分析結(jié)果，獲取待評估設(shè)備acl安全狀態(tài)值。

對于上述的分析過程(4)，下面給出一種計算過程，具體如下：

統(tǒng)計預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)總數(shù)m和觸發(fā)每條風(fēng)險項(xiàng)的acl規(guī)則總數(shù)xi(i＝1,2,…,n)，按照計算公式得到安全狀態(tài)值，其中，所述sn為觸發(fā)的風(fēng)險項(xiàng)總分，所述st為未觸發(fā)的風(fēng)險項(xiàng)總分,所述所述所述權(quán)重值ri為所述風(fēng)險項(xiàng)的風(fēng)險值，(i＝1,2,3,…,n)為觸發(fā)風(fēng)險項(xiàng)，n小于等于m，(i＝n+1,…,m)為未觸發(fā)的風(fēng)險項(xiàng)，xi取值1,2,3,…。

上述的流程中，通過分析acl風(fēng)險分析檢測出的已觸發(fā)的風(fēng)險項(xiàng)(即漏洞)、風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)被觸發(fā)的次數(shù)，分析了系統(tǒng)設(shè)備acl模塊的安全狀態(tài)，并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時，相對已有的技術(shù)考慮了風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、風(fēng)險項(xiàng)被觸發(fā)的次數(shù)問題，分析更加全面。而風(fēng)險值的計算采用cvss3.0評分技術(shù)，相對取經(jīng)驗(yàn)值的方法，該方法更加可靠、可信。此外，計算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，包括：

若預(yù)定的風(fēng)險庫包括基線庫時，分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)的風(fēng)險值。

具體的，若確定預(yù)定的風(fēng)險庫是多種類型的基線風(fēng)險庫，用戶可根據(jù)選擇的基線風(fēng)險庫分析每條風(fēng)險項(xiàng)的風(fēng)險值，并根據(jù)歸一化的基線模塊的數(shù)據(jù)，進(jìn)行基線模塊的風(fēng)險分析。這里用于分析的基線庫可以是統(tǒng)一安全策略管控系統(tǒng)自帶的基線庫，也可以是用戶根據(jù)自身業(yè)務(wù)需求自定義的基線庫，選擇的基線庫不同，最終的評估結(jié)果也不相同。下面將通過實(shí)施例來進(jìn)行詳細(xì)說明，具體如下：

(1)從風(fēng)險庫中選擇出與基線相關(guān)的所有基線庫，用戶依據(jù)選擇的基線庫，對所述待評估設(shè)備的歸一化基線數(shù)據(jù)進(jìn)行基線分析；

(2)根據(jù)(1)中檢查出的已觸發(fā)的風(fēng)險項(xiàng)(即漏洞)，風(fēng)險項(xiàng)的風(fēng)險值，進(jìn)行安全狀態(tài)值的計算；

(3)對于上述的分析過程(2)，下面給出一種計算過程，具體如下：統(tǒng)計預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)總數(shù)m，按照計算公式：

得到安全狀態(tài)值，其中，所述s'n為觸發(fā)的風(fēng)險項(xiàng)總分，所述st'為未觸發(fā)的風(fēng)險項(xiàng)總分,所述所述所述權(quán)重值ri為所述風(fēng)險項(xiàng)的風(fēng)險值，(i＝1,2,3,…,n)為觸發(fā)風(fēng)險項(xiàng)，n小于等于m，(i＝n+1,…,m)為未觸發(fā)的風(fēng)險項(xiàng)。

上述的流程中，通過分析基線分析檢測出的已觸發(fā)的風(fēng)險項(xiàng)(即漏洞)、風(fēng)險項(xiàng)的風(fēng)險值、分析了系統(tǒng)設(shè)備基線模塊的安全狀態(tài)，并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時，對風(fēng)險項(xiàng)(即漏洞)的風(fēng)險值的計算采用cvss3.0評分技術(shù)，相對取經(jīng)驗(yàn)值的方法，該方法更加可靠、可信。此外，計算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，若確定預(yù)定的風(fēng)險庫包括基線庫和訪問控制列表acl庫時，分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值，下面將通過實(shí)施例來進(jìn)行詳細(xì)說明，具體如下：

(1)判斷待評估設(shè)備是否支持acl風(fēng)險分析，若支持則執(zhí)行acl模塊的安全狀態(tài)分析，具體執(zhí)行方法，同上述實(shí)施例中acl風(fēng)險庫，若不支持，則不執(zhí)行；

(2)對待分析的設(shè)備執(zhí)行基線模塊的安全狀態(tài)分析，具體執(zhí)行方法，同實(shí)施例中基線庫；

(3)根據(jù)(1)和(2)的分析結(jié)果，分析設(shè)備的綜合安全狀態(tài)。

對于上述的分析過程(3)，按照計算公式進(jìn)行計算：

其中，所述sn為訪問控制列表acl庫時所觸發(fā)的風(fēng)險項(xiàng)總分，所述st為為訪問控制列表acl庫時未觸發(fā)的風(fēng)險項(xiàng)總分，所述s'n為基線庫時所觸發(fā)的觸發(fā)的風(fēng)險項(xiàng)總分，所述st'為為基線庫時未觸發(fā)的風(fēng)險項(xiàng)總分。

通過對待評估設(shè)備綜合安全狀態(tài)分析，分析了基線分析和acl分析檢測出的已觸發(fā)風(fēng)險項(xiàng)(即漏洞)信息、風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)被觸發(fā)的次數(shù)，分析了系統(tǒng)設(shè)備綜合安全狀態(tài)，并得出相應(yīng)的安全狀態(tài)值。

此方法在分析時，相對已有的技術(shù)考慮風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、風(fēng)險項(xiàng)被觸發(fā)的次數(shù)問題，分析更加全面。而風(fēng)險值的計算采用cvss3.0評分技術(shù)，相對取經(jīng)驗(yàn)值的方法，該方法更加可靠、可信。此外，計算得到系統(tǒng)安全狀態(tài)值更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

圖2為本發(fā)明提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置實(shí)施例一的結(jié)構(gòu)示意圖，如圖2所示，一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置，包括確定模塊10、提取模塊20和評估模塊30；

所述確定模塊10，設(shè)置于確定預(yù)定的風(fēng)險庫，所述風(fēng)險庫包括多條風(fēng)險項(xiàng)的配置信息，所述配置信息包括風(fēng)險項(xiàng)的識別碼和描述內(nèi)容；

所述提取模塊20，設(shè)置于提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng)；

所述評估模塊30，設(shè)置于分別分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)和所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法，得到所述待評估設(shè)備的安全狀態(tài)值。

本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)安全設(shè)備的風(fēng)險評估裝置，包括：確定模塊、提取模塊和評估模塊，通過確定模塊確定預(yù)定的風(fēng)險庫，提取模塊提取出待評估設(shè)備中與所述風(fēng)險項(xiàng)相關(guān)的有效配置信息，并根據(jù)有效配置信息的風(fēng)險分析結(jié)果獲取觸發(fā)所述待評估設(shè)備的風(fēng)險項(xiàng)，評估模塊分別分析預(yù)定的風(fēng)險庫中風(fēng)險項(xiàng)和所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng)，采取相應(yīng)的計算方法， 得到所述待評估設(shè)備的安全狀態(tài)值風(fēng)險值，通過分析風(fēng)險項(xiàng)的風(fēng)險值、風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系、所述待評估設(shè)備的風(fēng)險項(xiàng)已觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)來進(jìn)行相應(yīng)地計算得到待評估設(shè)備的安全狀態(tài)值，使得更直觀、準(zhǔn)確、有效的表明當(dāng)前設(shè)備安全狀態(tài)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，還包括：預(yù)處理模塊40；

所述預(yù)處理模塊40，設(shè)置于在確定預(yù)定的風(fēng)險庫之前，預(yù)先收集各配置類型的風(fēng)險庫，所述配置類型至少包括基線庫和/或訪問控制列表acl庫。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述評估模塊30設(shè)置于分析預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)，是指：

所述評估模塊設(shè)置于統(tǒng)計預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的總數(shù)；

采用cvss3.0評分方法分析獲取預(yù)定的風(fēng)險庫中的風(fēng)險項(xiàng)的風(fēng)險值；

確定預(yù)定風(fēng)險庫中任意兩條風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系，其中，觸發(fā)第一條風(fēng)險項(xiàng)必定會觸發(fā)第二條風(fēng)險項(xiàng)，且觸發(fā)所述第二條風(fēng)險項(xiàng)不會觸發(fā)所述第一條風(fēng)險項(xiàng)，則確定所述第一條風(fēng)險項(xiàng)和第二條風(fēng)險項(xiàng)之間存在關(guān)聯(lián)。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述評估模塊30設(shè)置于分析所述待評估設(shè)備已觸發(fā)的風(fēng)險項(xiàng)，是指：

所述評估模塊設(shè)置于若預(yù)定的風(fēng)險庫包括訪問控制列表acl庫時，分析觸發(fā)所述待評估設(shè)備觸發(fā)的每條風(fēng)險項(xiàng)的觸發(fā)次數(shù)、風(fēng)險項(xiàng)的風(fēng)險值以及風(fēng)險項(xiàng)之間的關(guān)聯(lián)關(guān)系這三者中的一個或者多個。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

進(jìn)一步地，在上述實(shí)施例的基礎(chǔ)上，所述評估模塊30設(shè)置于分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)，是指：

所述評估模塊30設(shè)置于若預(yù)定的風(fēng)險庫包括基線庫時，分析所述待評估設(shè)備觸發(fā)的風(fēng)險項(xiàng)的風(fēng)險值。

本發(fā)明實(shí)施例提供的裝置，可以執(zhí)行上述方法實(shí)施例，其實(shí)現(xiàn)原理和技術(shù)效果類似，在此不再贅述。

雖然本發(fā)明所揭露的實(shí)施方式如上，但所述的內(nèi)容僅為便于理解本發(fā)明而采用的實(shí)施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬領(lǐng)域內(nèi)的技術(shù)人員，在不脫離本發(fā)明所揭露的精神和范圍的前提下，可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化，但本發(fā)明的專利保護(hù)范圍，仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。